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Bei einem mIt einem Endgerat und einer tragbaren 
Datentrageranordnung gebildeten Informationsubertra- 
gungssystem findet eine Authentifizierung eines Systemteils 
durch ein anderes Systemteil nach dem Challenge-and-Re- 
sponse-Prinzip statt. Die tragbare Datentrageranordnung 1st 
mit einem Wertespeicher und einer dieser zugeordneten 
Kontrolleinrtchtung sowie einem nichtfluchtigen, begrenzba- 
ren Fehlerzahler gebildet. Bei dem Authentifizlerungsverfah- 
ren 1st zunachst in der tragbaren Datentrageranordnung eine 
Sperre fur das DurchfCihren von Rechenoperationen einge- 
richtet, die erst durch Verandern des FehlerzahJerstandes 
aufgehoben werden muS. Von dem Endgerat werden Zu- 
fallsdaten als Challenge- Daten zur tragbaren Datentrageran- 
ordnung ubertragen, nachdem der Fehlerzahlerstand inkre- 
mental verandert wurde und die Sperre aufgehoben worden 
ist Sowohi im Endgerat als auch in der tragbaren Datentra- 
geranordnung werden aus den Challenge-Daten mit Hilfe 
zumindest eines Algorithmus und geheimer Schlusseldaten 
jeweils Authentifikationsparameter APS, AP4 berechnet. Das 
Endgerat ubertragt seine Authentifikationsparameter APS als 
Response zur tragbaren Datentrageranordnung, wo sie mit 
den dort berechneten Authentifikationsparametern AP4 ver- 
glichen werden. Bei Obereinstlmmung der jeweiligen Au- 
thentifikationsparameter AP3, AP4 wird der Wertespeicher 
wtederaufladbar und/oder der Fehlerzahler rucksetzbar. 
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Die Erfindung betrifft ein Verfahren zur Authentifi- 
zierung eines Systemteils durch ein anderes Systemteil 
nach dem Chailenge-and- Response- Prinzip bei einem 
mit einem Endgerat und einer tragbaren Datentrager- 
anordnung gebildeten Informationsiibertragungssy- 
stem, wobei die tragbare Datentr^ereinheit mit einem 
Wertespeicher und einer diesem zugeordneten Kon- 
trolleinrichtung gebildet ist. 

Ein solches Verfahren ist aus der alteren europa- 
ischen Anmeldung EP 0 570 924 A2 bekannt Dort ist 
die Anzahl der Authentifikationsversuche durch einen 
Zahler begrenzt. Allerdings wird der Zahler nach jedem 
erfolgreichen Authentifikationsversuch zuriickgesetzt, 
so daB bei jeder Verwendung des einen Systemteils, also 
beispielsweise einer Chipkarte, wieder gleichviele neue 
Versuche zur Verfiigung stehen. Wie der einzigen Figur 
dieser Schrift zu entnehmen ist, endet das Authentifika- 
tionsverfahren mit dem Rucksetzen des 2^hlers. 

Tragbare Datentrageranordnungen wie beispielswei- 
se Telefonkarten sind mit einem Wertespeicher und ei- 
ner diesem zugeordneten Kontrolieinrichtung gebildet 
Der Wertespeicher ist als nichtfluchtiger Speicher, also 
beispielsweise als EPROM oder EEPROM, ausgefOhrt. 
Da solche Datentrageranordnungen einen Geldwert re- 
prSsentieren, ist das Risiko gegeben, daB Versuche un- 
ternommen werden, den Wertespeicher zu manipulie- 
ren bzw. solche Datentrageranordnungen beispielswei- 
se mittels eines Mikroprozessors zu simulieren. Zu die- 
sem Zweck konnte der Datenverkehr zwischen einer 
solchen tragbaren Datentrageranordnung und einem 
Endgerat abgehort werden und dann anhand des ermit- 
telten Datenflusses die Datentrageranordnung simuliert 
werden. 

Um eine Simulation zu verhindern, sind Verfahren 
entwickelt worden, die nach dem sogenannten Chailen- 
ge-and-Response-Prinzip arbeiten. Hierbei wird vom 
Endgerat eine Challenge, beispielsweise eine Zufalls- 
zahl, zu der tragbaren Datentrageranordnung iibermit- 
telt AnschlieBend werden sowohl m der tragbaren Da- 
tentrageranordnung als auch im Endgerat diese Zufalls- 
zahl mit einem geheimen Schliissel mittels eines Algo- 
rithmus verschliisselt. Daraufhin sendet die tragbare 
Datentragereinheit die verschliisselte Zufallszahl an das 
Endgerat als Response zuriick. Im Endgerat wird diese 
Response mit der im Endgerat verschliisselten Zufalls- 
zahl verglichen. Bei Obereinstimmung wird die tragbare 
Datentrageranordnung als echt erkannt und ein Daten- 
austausch kann stattfinden. Wenn keine Obereinstim- 
mung gegeben ist, findet kein Datenaustausch statt, so 
daB die tragbare Datentrageranordnung nicht simuliert 
werden kana 

Bekannte VerschlUsselungsalgorithmen sind nur dann 
ausreichend sicher, wenn die Rechenleistung in der trag- 
baren Datentrageranordnung und die Wortlange der 
verschliisselten Daten ausreichend groB sind. FQr Tele- 
fonkarten sind die bekannten Algorithmen wie bei- 
spielsweise der RSA- Aigorithmus viei zu aufwendig und 
damit zu teuer. 

Bei einer Telefonkarte werden bei jedem Gesprach 
eine bestimmte Anzahl der im Wertespeicher gespei- 
cherten Werte geloscht Wenn alle Werte geloscht sind, 
wird die Karte normalerweise weggeworfen. Es besteht 
somit das Bediirfnis, den Wertespeicher wieder auHad- 
bar zu gestalten. 

Es gibt heute Telefonkreditkarten, die einen weiteren 
Wertespeicher enthaiten, in dem ein bestimmter Kredit 



abgespeichert ist. Ist nun der Wertespeicher entwertet, 
so kann er wieder aufgeladen werden, wenn gleichzeitig 
ein entsprechender Teil des KLredits im weiteren Werte- 
speicher geloscht wird. Dieser Wiederaufladevorgang 
5 des Wertespeichers findet jedoch innerhalb der Karte 
statt. 

Soil jedoch der Wiederaufladevorgang von auBen ge- 
steuert werden, so miissen entsprechende MaBnahmen 
getroffen werden, um eine miBbrauchliche Wiederaufla- 

10 dung sicher unterbinden zu konnen. 

Die Aufgabe der vorliegenden Erfindung ist es somit, 
ein sicheres Verfahren zur Authentifizierung eines Sy- 
stemteils durch ein anderes Systemteil nach dem Chal- 
lenge-and-Response-Prinzip bei einem mit einem End- 

15 gerat und einer tragbaren Datentrageranordnung gebil- 
deten Informationsiibertragungssystem, wobei die trag- 
bare Datentragereinheit mit einem Wertespeicher und 
einer dieser zugeordneten Kontrolleinheit gebildet ist, 
anzugeben, das mit geringem Auf wand durchf uhrbar ist. 

20 Die Aufgabe wird geiost durch ein Verfahren gemaB 
dem Anspruch 1. Vorteilhafte Weiterbildungen der Er- 
findung sind in den Unteranspruchen angegeben. 

In erfindungsgemaBer Weise ist die tragbare Daten- 
trageranordnung auBer mit einem Wertespeicher und 

25 einer diesem zugeordneten Kontrolieinrichtung auch 
mit einem begrenzbaren Fehlerzahler gebildet, dessen 
Zahlerstand schreib- und Idschbar nicht fliichtig in 
EEPROM-Speicherzellen abgelegt ist. 
Vor jedem Authentifizierungsvorgang wird der Feh- 

30 lerzahlerstand inkremental durch einen Programmier- 
vorgang verandert, wobei es durch die Begrenzung der 
Anzahl der Authentifizierungsvorgange nicht moglich 
ist, den Algorithmus oder den geheimen Schliissel, mit 
denen die Authentifikationsparameter aus den Challen- 

35 ge-Daten berechnet werden, zu ermitteln. Aufierdem 
wird vor jedem Authentifizierungsvorgang eine Sperre 
in der tragbaren Datentrageranordnung eingerichtet, 
die nur durch eine Veranderung des Fehlerzahlerstands 
aufgehoben werden kann. Auf diese Weise wird sicher- 

40 gestellt, daB jeder Authentifizierungsvorgang gezahit 
wird. Die Sperre kann beispielsweise ein logischer Zu- 
stand in einer bestimmten Speicherzelle sein. 

Ein Wiederaufladen des Wertespeicher in der tragba- 
ren Datentrageranordnung ist auf erfindungsgemaBe 

45 Weise nur moglich, wenn sich das Endgerat durch den- 
selben geheimen Schliissel und denselben Algorithmus 
mit denen die Authentifikationsparameter aus den Chal- 
lenge-Daten berechnet worden sind, authentifiziert hat. 
Es ist vorteilhaft, wenn bei der Berechnung der Au- 

50 thentifikationsparameter neben den Challenge-Daten 
und dem geheimen Schliissel weitere Daten einbezogen 
werden. Die Abhangigkeit der Response auch vom 
Stand des Fehlerzahlers, vom jeweiiigen Inhalt des wie- 
der aufzuladenden Speichers oder von Identifikations- 

55 daten des tragbaren Datentragers erschwert die miB- 
brauchliche Analyse des gesamten Wiederaufladevor- 
gangs zusatzlich. 

In vorteilhafter Weiterbildung der Erfindung wird vor 
Oder mit dem Wiederaufladen des Wertespeichers der 

60 Fehlerzahler ruckgesetzt. 

Eine hohere Sicherheit wird erreicht, wenn im Falle, 
daB der Fehlerzahler vor dem Wiederaufladen des Wer- 
tespeichers riickgesetzt wurde, aus den Challenge-Da- 
ten mittels eines zweiten Algorithmus, weiterer gehei- 

65 nier Schltisseldaten und/oder weiterer sonstiger Daten 
des tragbaren Datentragers weitere Authentifikations- 
parameter ermittelt und miteinander verglichen wer- 
den. 
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In weiterer Ausbildung der Erfindung kann auch vor- 
gesehen werden, daB sich vor einer Authentifizierung 
des Endgerats gegeniiber der tragbaren Datentrageran- 
ordnung, diese sich gegeniiber dem Endgerat mittels 
desselben Vorgangs authentifizieren muB. Zu diesem 5 
Zweck ubertragt die tragbare Datentrageranordnung 
die ermittelten Authentifikationsparameter als Respon- 
se zu dem Endgerat, wo sie dann mit den dort ermittel- 
ten Authentifikationsparametem verglichen werden. 
Erst nach Obereinstimmung der jeweiiigen Authentifi- 10 
kationsparameter wird die Authentifizierung des End- 
gerats bezuglich der Berechtigung fur das Rucksetzen 
des Fehlerzahlers und/oder des Wiederaufladens des 
Wertespeichers durchgefQhrt Falls sich die tragbare 
Datentrageranordnung nicht authentifizieren kann, 15 
wird der Vorgang sofort abgebrochen. 

Es ist hinsichtiich der Sicherheit des Authentifizie- 
rungsvorgangs vorteilhaft, wenn mit jedem einzeinen 
Authentifizierungsvorgang neue Challenge- Daten von 
dem Endgerat zur tragbaren Datentrageranordnung 20 
ubermitteit warden. Eine weitere Erhohung der Sicher- 
heit wird erreicht, wenn bei jedem Authentifizierungs- 
vorgang ein neuer geheimer Schiiissel und/oder ein neu- 
er Algorithmus verwendet werden. 

Damit im Endgerat nicht eine Vielzahl von geheimen 25 
Schlusseln abgespeichert sein miissen, werden die in der 
jeweiiigen tragbaren Datentrageranordnung gespei- 
cherten geheimen Schlusseidaten verschlusselt als Iden- 
tifikationsdaten vom Endgerat aus der tragbaren Da- 
tentrageranordnung gelesen und im Endgerat mittels 30 
eines weiteren geheimen Schiiissel entschliisselt, so daB 
dann sowohl in der jeweiiigen tragbaren Datentrager- 
anordnung als auch im Endgerat derselbe geheime 
Schlussel vorliegt 

Die Erfindung wird nachfolgend anhand eines Aus- 35 
f uhrungsbeispiels mittels einer Flgur naher eriautert Es 

zeigt dabei die 

Flgur ein Ablaufdiagramm eines erfindungsgemaBen 

Verfahrens. 

Der Ablauf in der tragbaren Datentrageranordnung 40 
ist in der linken Halfte und der Ablauf im Endgerat in 
der rechten Halfte der Figur dargestelit. In einem ersten 
Schritt werden einerseits die Sperre eingerichtet, was 
beispielsweise durch ein Reset-Signal fur den in der 
tragbaren Datentrageranordnung enthaltenen Halblei- 45 
terchip erfolgen kann, und andererseits werden die Kar- 
tenidentifikationsdaten CID vom Endgerat aus der trag- 
baren Datentrageranordnung gelesen. Diese werden 
dann mittels eines weiteren geheimen Schlussels KEY 
und eines dazugehorenden Algorithmus f zu einem ge- 50 
heimen Schlussel KEY' entschlusselt. Dieser geheime 
Schlussel KEY' ist auch in der tragbaren Datentrager- 
anordnung enthalten. 

In einem zweiten Schritt wird der FehlerzShler FZ in 
der tragbaren Datentrageranordnung inkremental er- 55 
hoht Oder erniedrlgt Durch die Anzahl der moglichen 
Zahlschritte ist die maximale Anzahl der Authentifika- 
tionsvorgange beschrankt, so daB das Ermitteln des ge- 
heimen Schlussels KEY' durch vieie Versuche nicht 
mogiich ist. Durch das Verandern des Fehlerzahler- eo 
stands wird die Sperre aufgehoben, so daB in der tragba- 
ren Datentrageranordnung die Durchfuhrung von Ope- 
rationen mdglich wird. 

In emem dritten Schritt wird zunSchst eine erste Zu- 
faliszahl RANDOM 1 als Challenge vom Endgerat zur 65 
tragbaren Datentrageranordnung ubermitteit Dann 
werden in der tragbaren Datentrageranordnung diese 
Challenge mittels des geheimen Schlussels KEY', und 
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eines Algorithmus f, zu Authentifikationsparametem 
API verarbeitet, und als Response-Daten zum Endgerat 
ubermitteit Dort werden sie mit ebenfails aus der Zu- 
fallszahl RANDOM 1, dem geheimen Schlussel KEY' 
und dem Algorithmus f ermittelten Authentifikations- 
parametem AP2 verglichen. Bei Obereinstimmung wird 
die tragbare Datentrageranordnung als giiltig erkannt 
und der Authentifikationsvorgang wird fortgesetzt Ist 
keine Obereinstimmung gegeben, so muB der Vorgang 
von vorne begonnen werden, soweit der Fehlerzahler 
FZ dies zulaBt 

Bei Oberstimmung wird in einem vierten Schritt eine 
weitere Zufallszahl RANDOM 2 als weitere Challenge 
vom Endgerat an die tragbare Datentrageranordnung 
ubermitteit Diese wird wiederum mittels des geheimen 
Schlussels KEY' und des Algorithmus f , sowohl In der 
tragbaren Datentrageranordnung zu Authentifikations- 
parametem AP4 als auch im Endgerat zu Authentifika- 
tionsparametem AP3 verarbeitet Die Authentifika- 
tionsparameter AP3 des Endgerats werden dann als Re- 
sponse zur tragbaren Datentrageranordnung ubermit- 
teit, wo sie mit den dortigen Authentifikationsparame- 
tem AP4 verglichen werden. Bei Obereinstimmung hat 
sich das Endgerat gegenuber der tragbaren Datentra- 
geranordnung als berechtigt authentifiziert, sowohl den 
Fehlerzahler FZ rOcksetzen zu diirfen als auch den Wer- 
tespeicher wieder aufladen zu dQrfen. 

Es ware auch mogiich und wilrde zu noch groBerer 
Sicherheit fuhren, wenn vor dem Wiederauf laden des 
Wertespeichers ein weiterer Authentifizierungsvorgang 
mit einem weiteren Algorithmus stattfinden wiirde. Es 
konnte dazu auch eine andere Zufallszahl erzeugt und 
als Challenge zur tragbaren Datentrageranordnung 
ubermitteit werden. 

Durch das erfindungsgemaBe Verfahren ist ein hohes 
MaB an Sicherheit bezuglich des Schutzes vor Manipu- 
lation gegeben, da sich sowohl die tragbare Datentra- 
geranordnung als auch das Endgerat jeweiis gegenuber 
dem anderen Systemteil authentifizieren miissen und 
ein Ermitteln der verwendeten Algorithmen und gehei- 
men Schlussel durch mehrfaches Probieren nicht mog- 
iich ist, da einerseits nur eine durch den Fehlerzahler FZ 
begrenzte Anzahl von Versuchen erlaubt ist und ande- 
rerseits innerhalb dieser Anzahl von Versuchen ein 
Ruckrechnen mittels der Challenge- und der Response- 
Daten nicht mogiich ist 

Patentanspriiche 

I. Verfahren zur Authentifizierung eines System- 
teils durch ein anderes Systemteil nach dem Chal- 
lenge-and-Response-Prinzip bei einem mit einem 
Endgerat und einer tragbaren Datentrageranord- 
nung gebildeten Informationsubenragungssystem, 
wobei die tragbare Datentrageranordnung mit ei- 
nem Wertespeicher und einer diesem zugeordne- 
ten Kontrolleinrichtung, einem begrenzbaren, 
nichtflilchtigen Fehlerzahler (FZ) sowie einer 
Sperrvorrichtung gebildet ist, mit folgenden Schrit- 
ten: 

— in der tragbaren Datentrageranordnung 
wird eine Sperre fiir das Durchfuhren von Re- 
chenoperationen eingerichtet, die nur durch 
Verandern des Fehlerzahlerstandes aufgeho- 
ben werden kann, 

— der Fehlerzahlerstand wird durch einen 
Programmiervorgang verandert, wodurch die 
Sperre aufgehoben wird, 
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— von dem Endgerat werden Zufallsdaten 
(RANDOM 1; RANDOM 2) als Challenge zur 
tragbaren Datentrageranordnung ubertragen, 

— sowohl im Endgerat als auch in der tragba- 
ren Datentrageranordnung werden aus der 5 
Challenge (RANDOM 1; RANDOM 2) mit 
Hilfe zumindest eines ersten Algorithmus (f) 
sowie geheimer Schlttsseldaten (KEY') jeweils 
Authentifikationsparameter (APS, AP4) be- 
rechnet 10 

— das Endgerat iibertragt seine Authentifika- 
tionsparameter (AP3) als Response zur trag- 
baren Datentrageranordnung, wo sie mit den 
dort berechneten Authentifikationsparame- 
tern (AP4) verglichen werden, 15 

— bei Obereinstimmung der jeweiligen Au- 
thentifikationsparameter (AP3, AP4) wird die 
Sperrvorrichtung deaktiviert, so daB der Wer- 
tespeicher von dem Endgerat wieder auflad- 
bar ist. 20 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB der Wertespeicher von dem Endgerat 
wieder aufgeladen wird. 

3. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB gleichzeitig mit dem Wiederaufladen 25 
des Wertespeichers der Fehlerzahler (FZ) riickge- 
setzt wird. 

4. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB vor dem Wiederaufladen des Werte- 
speichers der Fehlerzahler (FZ) ruckgesetzt wird 30 

5. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, 

— daB nach dem Riicksetzen des Fehierzah- 
lers (FZ) sowohl im Endgerat als auch in der 
tragbaren Datentrageranordnung aus der 35 
Challenge (RANDOM 1; RANDOM 2) mit 
Hilfe zumindest eines zweiten Algorithmus so- 
wie der geheimen Schlilsseldaten (KEY') je- 
weils weitere Authentifikationsparameter be- 
rechnet werden, 40 

— daB das Endgerat seine weiteren Authentifi- 
kationsparameter als Response zur tragbaren 
Datentrageranordnung iibertragt, wo sie mit 
den dort berechneten weiteren Authentifika- 
tionsparametern verglichen werden, und 45 

— daB erst bei Obereinstimmung der jeweili- 
gen weiteren Authentifikationsparameter der 
Wertespeicher von dem Endgerat wieder auf- 
geladen wird. 

6. Verfahren nach einem der vorhergehenden An- 50 
spriiche, dadurch gekennzeichnet, daB gleichzeitig 
mit dem Wiederaufladen des Wertespeichers ein 
weiterer Wertespeicher entsprechend dem vorhe- 
rigen Wertestand des Wertespeichers umgeladen 
wird. 55 

7. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, 

— daB vor der Obertragung der Authentifika- 
tionsparameter (AP3) des Endgerats zur trag- 
baren Datentrageranordnung die tragbare 60 
Datentrageranordnung ihre Authentifika- 
tionsparameter (API) als Response zum End- 
gerat iibertragt, wo sie mit den dort berechne- 
ten Authentif ikationsparametern (AP2) vergli- 
chen werden, und 65 

— daB erst nach einem positiven Vergleichser- 
gebnis weitere Operationen m5glich sind. 

8. Verfahren nach einem der vorhergehenden An- 



spriiche, dadurch gekennzeichnet, daB vor jeder 
Berechnung von Authentifikationsparametern 
(API, AP2, AP3, AP4) neue Zufallsdaten (RAN- 
DOM i ; RANDOM 2) als jeweils neue Challenge 
vom Endgerat zur tragbaren Datentrageranord- 
nung ubertragen werden. 

9. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB fur jeden 
Authentifikationsvorgang neue geheime Schliissel- 
daten verwendet werden. 

10. Verfahren nach einem der vorhergehenden An- 

spriiche, dadurch gekennzeichnet, daB fur jeden 
Authentifikationsvorgang ein neuer Algorithmus 
verwendet wird. 

11. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB das Endge- 
rat Identifikationsdaten (CID) aus der tragbaren 
Datentrageranordnung liest und daraus den oder 
die geheimen Schlussel (KEY') berechnet, der oder 
die auch in der tragbaren Datentrageranordnung 
zur Verf ugung steht oder stehen. 
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